Bekijk de volledige versie : Блокировка доступа к сайтам в интернете (url, ip)
asus wl-500gp
1.9.2.7-7g
как блокировать с помощью роутера подсети?
например, 87.160.0.0 - 87.186.159.255
Если делать с помощью iptables, то команды для блокирования подсети будут следующие:
для блокирования исходящего трафика:
iptables -t mangle -I PREROUTING -d адрес/маска -j DROP
для блокирования входящего трафика:
iptables -t mangle -I PREROUTING -s адрес/маска -j DROP
Для того, чтобы заблокировать данный диапазон нужно будет заблокировать все входящие в него подсети:
87.160.0.0/12
87.176.0.0/13
87.184.0.0/15
87.186.0.0/17
87.186.128.0/19
Ну и соответственно команды нужно прописать в инициализационный скрипт post-firewall.
melnikdima
13-11-2007, 21:18
народ подскажите как можно заблокировать определенный внешний ip адрес?
например есть сайт xxx.ru
как с помощью роутера его можно заблокировать?
и ещё возможен ли такой вариант заблокировать сайт xxx.ru только для определеного компьютера?
Роутер wl500gp
прошивка 1.9.2.7-8
nightrus
13-11-2007, 21:30
включаешь LAN to WAN Filter
в табличку добавляешь ip компа, ip сайта + порт 80
melnikdima
13-11-2007, 21:55
а что должно тут стоять?
Packets(LAN to WAN) not specified will be:
nightrus
13-11-2007, 22:18
если оставишь ACCEPT, то все что в таблицу не добавишь, будет проходить, что добавишь будет DROP
melnikdima
13-11-2007, 22:53
вот стмоти у меня такая тема
мне нужно заблокировать сайт xxx.ru на локальный ip 192.168.1.2 мне нужнто делать так?
Source IP Port Range Destination IP Port Range Protocol
192.168.2 80 ip сайта xxx.ru 80 TCP ALL
я так делаю не работает блокировка!!!!!!((((((
в чём ошибка?
nightrus
13-11-2007, 23:02
Enable LAN to WAN Filter? Yes поставил?
Apply, Finish?
для локального ip порт пусто оставь
melnikdima
13-11-2007, 23:10
нашёл ошибку
я блокировал адрес xxx.ru
только тогда когда запрос шёл с адреса 192.168.1.2 порта 80
нужно было поле Port Range оставить пустым то есть
Source IP Port Range Destination IP Port Range Protocol
192.168.2 пустота ip сайта xxx.ru 80 TCP
Господа.
Не подскажет ло кто, как на WL-500Gp реализовать URL Blocking (ака Filtering). Чтобы на роутере заблокировать доступ к ряду сайтов для всех машин LAN.
Прошивка последняя, Олеговская. Сенкс кстати за нее огромный!
Подобный функционал был в родной прошивке, да кто ж ее юзает. :)
При этом дико не хочется поднимать на роутере проксю, т.к. иначе совсем проц перегружу :)
Есть ли какие идеи, советы и пр., как это сделать средствами к примеру itpables или чего-то подобного.
Скажу сразу, что идеи с прописыванием файлов HOSTS на машинах не катит!
Скажу сразу, что идеи с прописыванием файлов HOSTS на машинах не катит!
А на роуторе в hosts прописать
Mirage-net
17-11-2007, 12:05
А какая стоит задача??? Просто запрет каких любо сайтов без прокси сервера и закрытия все портов продвинутыми юзерами обходится на раз... Может подробное описание задачи поможет дать действительно действующий совет ...
А какая стоит задача??? Просто запрет каких любо сайтов без прокси сервера и закрытия все портов продвинутыми юзерами обходится на раз... Может подробное описание задачи поможет дать действительно действующий совет ...
Продвинутыми пользователями и прокся обходиться на 2.
Mirage-net
17-11-2007, 14:46
Продвинутыми пользователями и прокся обходиться на 2.
А вот здесь по подробнее ... Я уже 15 админю и еще ни разу не смогли обойти...
А вот здесь по подробнее ... Я уже 15 админю и еще ни разу не смогли обойти...
А в чем вопрос, пройти куда не пускают через проки, или пройти мимо прокси?
Mirage-net
17-11-2007, 15:28
А в чем вопрос, пройти куда не пускают через проки, или пройти мимо прокси?
Пройти через прокси на запрещенный узел (на шлюзе все порты заворачиваются на порт прокси) ... Прокси метод "Connect" не поддерживает :)
Пройти через прокси на запрещенный узел (на шлюзе все порты заворачиваются на порт прокси) ... Прокси метод "Connect" не поддерживает :)
Изврат, хоть 443 порт открыт для connect`a.
Mirage-net
17-11-2007, 16:05
Изврат, хоть 443 порт открыт для connect`a.
Да но с ограничением ... :) Что поделать иногда работодатели требуют полностью подконтрольную ситуацию (типа даже на сайты размещения резюме работники не должны иметь доступа, как будто это помешает их увольнению в лучшее место) ... Работа есть работа, за что платять то и приходится делать :(
Гхм.
Извините, но вопрос был немножко в другом.
Задача на роутере закрыть возможность доступа юзеров на ряд сайтов. По УРЛам.Без прокси.
Пример:
Есть сайт tetki.ru.
Юзера на него попадать не должны.
Ни по www.tetki.ru ни по forum.tetki.ru.
Юзера тупые, так что извратов не требуется.
ВСЕ!
Ну и добавьте в /usr/local/etc/hosts роутера запись:
127.0.0.1 tetki.ru
И всё.
koenigsberger
17-11-2007, 19:38
Хотел бы вопрос углубить....
например на машину с адресом 192.168.2.7 - как будет выглядеть правило ?
И какой командой снять правило?
Ну и добавьте в /usr/local/etc/hosts роутера запись:
127.0.0.1 tetki.ru
И всё.
ВО блин, СПАСИБО!
А я его пытался вправить просто в ETC...
Теперь все ок.
Хотел бы вопрос углубить....
например на машину с адресом 192.168.2.7 - как будет выглядеть правило ?
И какой командой снять правило?
Никак. Вопрос был, как всем юзерам закрыть определение конкретного хоста. А точечно блокировать поможет прокси:)
Ну и добавьте в /usr/local/etc/hosts роутера запись:
127.0.0.1 tetki.ru
И всё.
Вот и получается что заблокирован только сайт tetki.ru
А вот сайт www.tetki.ru и forum.tetki.ru открывается
К примеру "job" или "odnoklasniki" чтобы не IP-шники выстригать, а на корню заразу вырезать.
К примеру "job" или "odnoklasniki" чтобы не IP-шники выстригать, а на корню заразу вырезать.
Это же роутер, а не цензор. Он вообще про символьные имена может не знать, и при этом отлично работать. Только если снифать днс/веб трафик и динамически добавлять блокировки. Но, боюсь, процессора у зверюшки не хватит.
У D-Link это реализовано! А мы чем хуже :)
У D-Link вообще ни один девайс сложнее неуправляемого свитча не работает — уж можете мне поверить... или вы эту инфу из рекламных материалов взяли? :D
Вообще-то я сегодня "слез" с D-Link и выкинул последний девайс, заменив его WL500gP. Дома меня эта проблема не интересовала, а на работе озадачили!
Так что не из рекламы взял а из жизни. Есть там такая приблуда как блокировка по названию. Блокируется любой адрес, где встречается искомое слово.
У нас тоже раньше был content filter в менюшках. Только не работал. Делал он это, насколько я понимаю, именно так, как я написал.
Про D-Link я могу рассказывать часами, и все матом - вам фамилия Михневич ни о чем не говорит? Все, что у них заявлено в ТТХ, либо не работает вообще, либо работает криво.
советую посмотреть как и что настраивается у dnsmasq.
если штатный dnsmasq настроить как надо не удастся, можно сделать так:
поставить свой DNS сервер на роутере и ему прописать правила для определённых доменов, например на себя самого. а так же поднять встроенный busybox_httpd с целью отдавать страницу с фигой на любой запрос к нему.
Про D-Link я могу рассказывать часами, и все матом - вам фамилия Михневич ни о чем не говорит? Все, что у них заявлено в ТТХ, либо не работает вообще, либо работает криво.
Полностью присоединяюсь!
НО эта функция почему-то работала и очень просто настраивалась :)
такой функционал есть в 3proxy http://3proxy.ru/plugins/PCREPlugin/
Но у меня запустить не получилось, может кому повезет больше.
Конфиг
#!/usr/local/bin/3proxy
writable
pidfile /tmp/var/run/3proxy.pid
internal 192.168.1.100
external 0.0.0.0
nserver 82.144.192.130
nserver 82.144.192.131
nserver 82.144.192.32
nserver 82.144.192.30
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
monitor /tmp/harddisk/3proxy/3proxy.cfg
#monitor /tmp/harddisk/3proxy/counters
monitor /tmp/harddisk/3proxy/passwd
#monitor /tmp/harddisk/3proxy/bandlimiters
log /tmp/harddisk/3proxy/proxy.log D
logformat "L%C - %U [%d/%o/%Y:%H:%M:%S %z] ""%T"" %E %I %O %N/%R:%r"
rotate 30
counter "/tmp/harddisk/3proxy/3proxy.3cf" D "/tmp/harddisk/3proxy/traf"
$/tmp/harddisk/3proxy/passwd
plugin /tmp/harddisk/3proxy/PCREPlugin.ld.so pcre_plugin
#WEB
nsrecord vkontakte.ru 64.233.187.99
#bandlimin 64000 * 192.168.1.200
deny * 192.168.1.200 * 80,443 * 1-4 00:00:00-18:30:00,21:30:01-24:00:00
allow * 192.168.1.200 * 80,443 * 1-4 18:30:01-21:30:00
deny * 192.168.1.200 * 80,443 * 5-7 00:00:00-07:30:00,22:30:01-24:00:00
allow * 192.168.1.200 * 80,443 * 5-7 07:30:01-22:30:00
#allow * 192.168.1.200 * * * 5-7 00:00:00-24:00:00
allow * 192.168.1.2 * * * 1-7 00:00:00-24:00:00
#allow * 192.168.1.200 * * * 1-7 00:00:00-24:00:00
#allow * 192.168.1.25 * * * 1-7 00:00:00-24:00:00
auth iponly
#auth none
proxy -a2 -p3128 -i192.168.1.100
#ICQ
flush
deny nata 192.168.1.200 * 5190 * 1-4 00:00:00-19:30:00,21:30:01-24:00:00
allow nata 192.168.1.200 * 5190 * 1-4 19:30:01-21:30:00
deny * 192.168.1.200 * 5190 * 5-7 00:00:00-07:30:00,22:30:01-24:00:00
allow * 192.168.1.200 * 5190 * 5-7 07:30:01-22:30:00
allow * 192.168.1.2 * * * 1-7 00:00:00-24:00:00
auth iponly strong
allow admin,igor,nata
socks
#adminka
flush
allow admin
admin -p8282
такой функционал есть в 3proxy http://3proxy.ru/plugins/PCREPlugin/
Но у меня запустить не получилось, может кому повезет больше.
Конфиг
#!/usr/local/bin/3proxy
writable
pidfile /tmp/var/run/3proxy.pid
internal 192.168.1.100
external 0.0.0.0
nserver 82.144.192.130
nserver 82.144.192.131
nserver 82.144.192.32
nserver 82.144.192.30
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
monitor /tmp/harddisk/3proxy/3proxy.cfg
#monitor /tmp/harddisk/3proxy/counters
monitor /tmp/harddisk/3proxy/passwd
#monitor /tmp/harddisk/3proxy/bandlimiters
log /tmp/harddisk/3proxy/proxy.log D
logformat "L%C - %U [%d/%o/%Y:%H:%M:%S %z] ""%T"" %E %I %O %N/%R:%r"
rotate 30
counter "/tmp/harddisk/3proxy/3proxy.3cf" D "/tmp/harddisk/3proxy/traf"
$/tmp/harddisk/3proxy/passwd
plugin /tmp/harddisk/3proxy/PCREPlugin.ld.so pcre_plugin
#WEB
nsrecord vkontakte.ru 64.233.187.99
#bandlimin 64000 * 192.168.1.200
deny * 192.168.1.200 * 80,443 * 1-4 00:00:00-18:30:00,21:30:01-24:00:00
allow * 192.168.1.200 * 80,443 * 1-4 18:30:01-21:30:00
deny * 192.168.1.200 * 80,443 * 5-7 00:00:00-07:30:00,22:30:01-24:00:00
allow * 192.168.1.200 * 80,443 * 5-7 07:30:01-22:30:00
#allow * 192.168.1.200 * * * 5-7 00:00:00-24:00:00
allow * 192.168.1.2 * * * 1-7 00:00:00-24:00:00
#allow * 192.168.1.200 * * * 1-7 00:00:00-24:00:00
#allow * 192.168.1.25 * * * 1-7 00:00:00-24:00:00
auth iponly
#auth none
proxy -a2 -p3128 -i192.168.1.100
#ICQ
flush
deny nata 192.168.1.200 * 5190 * 1-4 00:00:00-19:30:00,21:30:01-24:00:00
allow nata 192.168.1.200 * 5190 * 1-4 19:30:01-21:30:00
deny * 192.168.1.200 * 5190 * 5-7 00:00:00-07:30:00,22:30:01-24:00:00
allow * 192.168.1.200 * 5190 * 5-7 07:30:01-22:30:00
allow * 192.168.1.2 * * * 1-7 00:00:00-24:00:00
auth iponly strong
allow admin,igor,nata
socks
#adminka
flush
allow admin
admin -p8282
У меня получилось нет тут нечего сложного
plugin /opt/local/3proxy/PCREPlugin.ld.so pcre_plugin
pcre request deny "online.dll?|wysistat.com|porn|microsoft.com|sex|tr ahnu|" * *
А как тогда все запросы по 80 порту завернуть через проксю?
Так подойдет?
iptables -t nat -A PREROUTING -i vlan1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128
Нашел (http://forum.ubuntu.ru/index.php?topic=3244.0) решение для Squid (http://wl500g.info/showthread.php?t=13093).
Два варианта:
acl BANNER url_regex banner reklama linkexch banpics us\.yimg\.com[\./]ad[s]?[\./]
http_access deny BANNER и альтернатива
acl banners url_regex "/etc/squid/banners.acl"
http_access deny banners где banners.acl - список блокировок, лежит тут (http://lip.kiev.ua/file/banners.acl) и может самостоятельно дополняться (не забывайте рестратовать squid после дополнения).
НЕ ЗАБЫВАЕМ что в squidе важен порядок правил в конфиге!
З.Ы. А завернуть унутренний трафик от 80 порта на 3128 пока не получилось :(
iptables -I FORWARD -p tcp --dport 5190 -j DROP - запрет аськи
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128 -заворот на проксю
У меня получилось нет тут нечего сложного
plugin /opt/local/3proxy/PCREPlugin.ld.so pcre_plugin
pcre request deny "online.dll?|wysistat.com|porn|microsoft.com|sex|tr ahnu|" * *
Что то у меня по этой строке все заблочилось :eek:
Но оно хоть работает, пойду поковыряю.
iptables -I FORWARD -p tcp --dport 5190 -j DROP - запрет аськи
ты наверное хотел сказать
iptables -I FORWARD -p tcp --dport 80 -j DROP - запрет http и потом его заворот на 3128
Короче все заработало!
ты наверное хотел сказать
не, все я верно сказал ;)
Давным давно, когда еще админил, решил на работе проблему при помощи http://www.privoxy.org/
Вроде видел эту штуку среди пакетов. кому охота - попробуйте.
но вообще блокировать сайты это дело неблагодарное, т.к. хитрый юзер вегда найдет лазейку - внешний прокси, или еще что...
не надо ничего блокировать просто оповестить юзеров что логи по всем сайтам кроме рабочих автоматически пересылаются начальнику
кому охота - попробуйте.
Не, спасибо! Я squidоман или маsquidист :)
не надо ничего блокировать просто оповестить юзеров что логи по всем сайтам кроме рабочих автоматически пересылаются начальнику
+1!
причём реализовать логирование http и всякой аськи будет несложно :)
можно будет ещё пару раз вывесить в офисе распечатки со статистикой посещений урлов людьми.
+1!
причём реализовать логирование http и всякой аськи будет несложно :)
можно будет ещё пару раз вывесить в офисе распечатки со статистикой посещений урлов людьми.
Вот как раз в тему! Как раз хочу такое реализовать и собственно логировать события. Как и на чём сделать? есть темы?
idtelecom
05-06-2008, 03:11
Некоторое время назад заметил в логах, что с некоторых IP адресов пытаються подобрать пароль к поднятому на роутере WL500GP ftp сервере.
Отсюда вопрос можно ли ограничить количество неправильных наборов пользователя и пароля. Или хотя бы просто заблокировать доступ с некоторых адресов.
Jun 5 05:51:12 vsftpd[158]: CONNECT: Client "88.191.49.242"
Jun 5 05:51:12 vsftpd[157]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:51:20 vsftpd[157]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:51:30 vsftpd[157]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:51:38 vsftpd[160]: CONNECT: Client "88.191.49.242"
Jun 5 05:51:38 vsftpd[159]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:51:46 vsftpd[159]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:51:52 vsftpd[159]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:51:57 vsftpd[162]: CONNECT: Client "88.191.49.242"
Jun 5 05:51:57 vsftpd[161]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:52:00 vsftpd[161]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:52:03 vsftpd[161]: [Administrator] FAIL LOGIN: Client "88.191.49.242"
Jun 5 05:52:05 vsftpd[164]: CONNECT: Client "88.191.49.242"
KeRNel_x86
08-06-2008, 18:59
Про серв не скажу, вс-ку не юзал. Читайте маны, хотя вряд ли есть такая опция.
А послать лесом "злого хакера"... вот простейший вариант
/usr/sbin/iptables -I INPUT 1 -s 88.191.49.242 -j DROP
Будет игнорить все пакеты с этого адреса.
Чтоб после ребута автоматом прописывал, эту строчку добавить в post-firewall.
vaspupkin
09-06-2008, 07:14
здесь в форуме нашел такое решение:
1. создаешь файл /tmp/local/sbin/blockIPs
#!/bin/sh
for ip in `cat /usr/local/etc/block.ip`
do
iptables -A FORWARD -p tcp -s $ip -j DROP
iptables -A FORWARD -p udp -s $ip -j DROP
done
2. Делаешь его исполняемым
chmod +x /tmp/local/sbin/blockIPs
3. Создаешь файл /tmp/local/etc/block.ip
В этот файл вносятся IP адреса, которые необходимо блокировать,
напр.
125.243.145.2
196.200.114.219
4. В файле /tmp/local/sbin/post-firewall добавляешь следующую строку
# Block IPs
/usr/local/sbin/blockIPs
5. сохраняешь настройки
6. ребутишь роутер
KeRNel_x86
09-06-2008, 07:34
Там правила вносятся в таблицу фовард. А это касается ток компов за рутером. Фтп-шка же поднята непосредственно на рутере, знач писать надо в input.
Если адресов много, можно и скриптом. Ток в данном конкретном случае я б еще не стал указывать протокол. Пусть дропает и icmp впридачу.
В этой теме (ближе к концу) http://wl500g.info/showthread.php?t=11436 предложено решение для автоматического блокирования доступа с IP на ssh порт после N попыток соединения в течение промежутка времени T с использованием модуля ipt_recent.o Не вижу причин почему нельзя использовать такой же подход для блокирования назойливого доступа по ftp
Не могу настроить запрет просмотра некоторых URL c определенных РМ (по IP и по MAC) - в LAN to WAN прописал ACCEPT, кроме source - 192.168.x.0, destination - наш фильтруемый URL по 80 и 80 TCP - ничего не происходит.
По DROP - все режется, как и положено. Очень хочу избавиться от пропускания трафика через машину с WinGate и возложить почетную задачу запрета одноклассников на наш девайс. Заранее спасибо.
Alex9801
08-07-2008, 20:38
Нужно для локальной сети заблокировать доступ к ряду сайтов. Как самый простой вариант - настроить DNS чтобы имя vasya.ru перенаправлял на 127.0.0.1.
И второе. Требуется чтобы при любом обращении к ресурсу http://www.aa.ru выдавалась картинка, адрес которой задается в параметрах.
Кто чем поможет?
Нужно для локальной сети заблокировать доступ к ряду сайтов.Требуется чтобы при любом обращении к ресурсу http://www.aa.ru выдавалась картинка, адрес которой задается в параметрах.Без дополнительной установки прокси сервера squid можно выполнить фильтрацию нежелательных сайтов при соблюдении следующих условий.
1. Это должен быть перечислимый ряд сайтов, и все эти сайты Вы перечислите по ip-адресам в своём скрипте.
2. Сайты будут иметь фиксированый ip
3. Прочтёте эту документацию http://www.opennet.ru/docs/RUS/iptables и настроите DNAT-SNAT для каждого из запрещенных Вами сайтов.
Если нет возможности исполнить вышеперечисленные условия, то Вам придется поставить и изучить squid.
Посоветуйте какой-нибудь софт для wl500g, которым можно блокировать ненужные сайты, некоторую рекламу.
Это вообще не создаст нагрузку на роутер? Или делать этого не стоит?
Посоветуйте какой-нибудь софт для wl500g, которым можно блокировать ненужные сайты, некоторую рекламу.
Нужно ставить фильтрующий HTTP прокси-сервер типа privoxy (это попроще), 3proxy (это сложнее) или даже squid (это совсем сложно и ощутимо нагрузит роутер, зато больше возможностей).
Есть возможность при помощи iptables сделать прокси "прозрачным" - то есть не требующим явного указания адреса прокси в браузере.
И то и другое и третье есть в пакетах, настройка 3proxy/squid обсуждалась на этом форуме - поиск рулит :)
Возможно ли заблокировать доступ к некоторым URL или IP с помощью этого роутера?
IP можно заблокировать через фаервол (iptables), а про URL вот тут нагуглил: http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html
IP можно заблокировать через фаервол
да вот ниче не блокируется что-то... Пример бы...
а про URL вот тут нагуглил: http://sudouser.com/blokirovka-nezhe...-iptables.html
а как этот iptables в WL-500gP засунуть?
Судя по этому (http://www.asus.ru/ftp/spk/networks/wlanrouter/wlanrouter.pdf), в нем должен быть URL blocking. Или, может он только в родной прошивке? Я то олеговскую поставил.
Protos911
22-09-2008, 15:30
Возможно ли заблокировать доступ к некоторым URL или IP с помощью этого роутера?
Можно, на любой штатной прошивке.....
Ведь реально на 80-ти машинах налепить специально для этого фаер и на каждой прописать УРЛЫ, и изменять, добавлять опять на каждой...
Те, кто считает, что это роскошь видно не работает админами в больших конторах с удалёнными филиалами....
Можно, на любой штатной прошивке.....
Ведь реально на 80-ти машинах налепить специально для этого фаер и на каждой прописать УРЛЫ, и изменять, добавлять опять на каждой...
Те, кто считает, что это роскошь видно не работает админами в больших конторах с удалёнными филиалами....
Ну вот как раз админу в такой конторе и не хватало для полного счастья облезать 1,5-2 тыс машин и настраивать на каждой фаер...
А на роутере можно немного урлов прописать в /usr/local/etc/hosts переслав их на левый ip, тока на 127.0.0.1 не советую, а то роутер их и разрулит куда надо! :)
Может инфу по URL-Blocking в FAQ внести?
А на роутере можно немного урлов прописать в /usr/local/etc/hosts переслав их на левый ip
а как туда залезть?
опа, нашел
Может инфу по URL-Blocking в FAQ внести?
она уже почти там
http://wl500g.info/showthread.php?t=15068
Ну вот как раз админу в такой конторе и не хватало для полного счастья облезать 1,5-2 тыс машин и настраивать на каждой фаер...
А на роутере можно немного урлов прописать в /usr/local/etc/hosts переслав их на левый ip, тока на 127.0.0.1 не советую, а то роутер их и разрулит куда надо! :)
Если на роутере крутится веб сервер, можно в него положить страничку грозную, и на нее перенаправлять все заблокированные.
Если на роутере крутится веб сервер, можно в него положить страничку грозную, и на нее перенаправлять все заблокированные.
ой-ё... я еще не разобрался как hosts отредактировать... vi или еще как... Можете объяснить?
Да и iptables каким образом в роутер запихнуть? Или он уже там есть?
ой-ё... я еще не разобрался как hosts отредактировать... vi или еще как... Можете объяснить?
Да и iptables каким образом в роутер запихнуть? Или он уже там есть?
Тырк в предпоследнюю ссылку в моей подписи ;)
Тырк в предпоследнюю ссылку в моей подписи ;)
спасибо, ситуация проясняется
Только содержимое hosts после перезагрузки возвращается в первоначальное состояние.
И это дошло :), не тот hosts редактировал. После редактирования hosts какие нибудь команды для сохранения его в памяти выполнять надо?
спасибо, ситуация проясняется
Только содержимое hosts после перезагрузки возвращается в первоначальное состояние.
И это дошло :), не тот hosts редактировал. После редактирования hosts какие нибудь команды для сохранения его в памяти выполнять надо?
Отдать три команды:
flashfs save
flashfs commit
flashfs enable
Это сохранение во внутреннем флеше тех изменений, которые Вы сделали в развернутом. К opt это, ест-но, не относится.
Отдать три команды:
flashfs save
flashfs commit
flashfs enable
Это сохранение во внутреннем флеше тех изменений, которые Вы сделали в развернутом. К opt это, ест-но, не относится.
Даже при таких командах скорее всего не сохранится.
надо еще соответствующую строчку добавить в /user/local/.files
kir-g
Ваша правда, забыл.
Даже при таких командах скорее всего не сохранится
хм, вроде сохранилось. Я сразу flashfs save && flashfs commit && flashfs enable делал. Просто не был уверен что они все нужны.
надо еще соответствующую строчку добавить в /user/local/.files
а для чего это? Почему здесь все время говорят загадками? Ни одного прямого ответа. Какую "соответствующую"? Соответствующую чему?
iptables каким образом в роутер запихнуть? Или он уже там есть?
Тырк в предпоследнюю ссылку в моей подписи
от туда ничего не понял по этому поводу :(
Обязательно ли подключать HDD к роутеру? Откуда все приложения (пакеты) брать? Да и сам IPKG где?
а для чего это? Почему здесь все время говорят загадками? Ни одного прямого ответа. Какую "соответствующую"? Соответствующую чему?
Нужно в файл /user/local/.files (это именно файл, а не папка)
записать ссылки к файлам, которые необходимо сохранять.
от туда ничего не понял по этому поводу :(
Обязательно ли подключать HDD к роутеру? Откуда все приложения (пакеты) брать? Да и сам IPKG где?
Тырк инструкция по настройке WL-500g deluxe с нуля (http://wl500g.info/showpost.php?p=19983&postcount=1), Пункт Общая информация по работе роутера:.
Всем привет.
Объясни пожалуйста как заблокировать доступ к асусу и интернету пользователям с адресами от 192.168.1.10 до 192.168.1.255?
Спасибо.
AndreyPopov
25-09-2008, 01:43
Всем привет.
Объясни пожалуйста как заблокировать доступ к асусу и интернету пользователям с адресами от 192.168.1.10 до 192.168.1.255?
Спасибо.
в настройках Firewall включите фильтр LAN to WAN и там пропишите блокировки.
Объясни пожалуйста как заблокировать доступ к асусу и интернету пользователям с адресами от 192.168.1.10 до 192.168.1.255?
Спасибо.
Как вам уже написали выше, а вот 192.168.1.255 ябы блокировать несоветовал =)
diman0.7
25-09-2008, 20:10
а чтоб интернет был соответственно только для адресов от 192.168.1.10 до 192.168.1.255 надо прописать их в WAN to LAN Filter Table ?
а Port Range нужно какой указывать?и Protocol какой выбирать?
AndreyPopov
25-09-2008, 21:37
а чтоб интернет был соответственно только для адресов от 192.168.1.10 до 192.168.1.255 надо прописать их в WAN to LAN Filter Table ?
а Port Range нужно какой указывать?и Protocol какой выбирать?
да нет, все надо прописывать в LAN to WAN фильтре!!!!!!
WAN to LAN - это из внешней сети кого-то если хотите пустить.
Всем спасибо!
Сделал так - http://wl500g.info/showpost.php?p=99828&postcount=3 :rolleyes:
diman0.7
26-09-2008, 19:21
да нет, все надо прописывать в LAN to WAN фильтре!!!!!!
WAN to LAN - это из внешней сети кого-то если хотите пустить.
ага,тоесть штоб инет был на апределенных айпи то,прописываем их и выбираем ACCEPT?
а все-таки а Port Range и Protocol нужно указывать?
собственно сабж
ЗЫ написал правило в хостс
127.0.0.1 odnoklassniki.ru
127.0.0.1 www.odnoklassniki.ru
а доступ к wg2.odnoklassniki.ru и остальным остался...
как правильно блокировать URL
спасибо
Psimulator
07-10-2008, 16:51
Можно установить DNS-сервер на роутер (если нет) и прописать зону odnoklasniki.ru, тогда никакие запросы *.odnoklasniki.ru дальше роутера не пойдут.
Вроде ещё средствами роутера есть фильтрация по URL.
Вот про средства роутера интересно. Про штатные, с прошивкой Олега, а не если система на флешке стоит.
Вот про средства роутера интересно. Про штатные, с прошивкой Олега, а не если система на флешке стоит.
Идете на whois-сервер, ищите их сети, блокируете в iptables.
Идете на whois-сервер, ищите их сети, блокируете в iptables.
но их-же много!! вместо www разные буквы и цифры....
как засечь всех??
Идете на whois-сервер, ищите их сети, блокируете в iptables.
Что, все 254 сервера прописывать?
Что, все 254 сервера прописывать?
вам про СЕТИ говорят, а вы про серверы. как правило, все эти северы принадлежат к одной-двум сетям. в iptables есть все механизмы для блокирования сетей.
вам про СЕТИ говорят, а вы про серверы. как правило, все эти северы принадлежат к одной-двум сетям. в iptables есть все механизмы для блокирования сетей.
Где находится iptables в прошивке Олега? И как там правильно прописать запрет на сеть?
Повторюсь, отдельной системы на флешке не установлено.
Где находится iptables в прошивке Олега?
читайте форум - здесь все есть про iptables. в прошивке от Олега iptables есть изначально.
RoloTomasi
15-10-2008, 16:00
Не это замечательно, особенно когда видишь объемы доки по iptables.
Блин на изучение уйдет несколько часов минимум, это целая философия-технология.
Пока временно дайте наводку как заблокировать сабж.
А еще лучше шаблон для блокировки доступа определенного ip в lan к ресурсу.
Нашел такое:
iptables -A INPUT -s odnoklassniki.ru -j DROP
но не работает.
А в идеале скрипт, в начале nslookup, а затем использую полученные ip блокировка.
RoloTomasi
15-10-2008, 16:11
А можно указать диапазон блокируемых адресов
iptables -t filter -A INPUT -s 81.177.141.137 -j DROP
?
Еще можно поставить Transparent Proxy (squid) и перенаправлять все такие запросы на сервер с грозным "низя".
Ну и вот: http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html
RoloTomasi
20-10-2008, 01:23
Еще можно поставить Transparent Proxy (squid) и перенаправлять все такие запросы на сервер с грозным "низя".
Ну и вот: http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html
Про squid знамо и по ссылке читал. Ключевое там
Реализовано все на основе patch-o-matic, дополнение к iptables от Netfilter. .
Так понимаю надо чего-то устанавливать.
А хотелось(попытаться) обойтись тем, что имеется.
могу конечно ошибаться (и вообще смешно такой старый пост поднимать просто тоже столкнулся с данной проблеймой))) может попробовать так например *.тетки.ру ? =)
а вообще в Вэбе нет возможности прописать?
Поиск по форуму - squid, 3gproxy
Подскажите, как осуществить сабж?
P.S. Пример (http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html) из FAQ не помог, пишет вот такое.
Да, роутер WL500gP, прошивка последняя.
Читайте внимательнее ссылку на пример:
...patch-o-matic, дополнение к iptables от Netfilter. Используем модуль string для достижения цели...
Это надо сначала поставить в роутер. Поищите по форуму Netfilter, iptables, string.
Все понятно.
А не ли иного способа? Помню, на офф прошивке был пункт в web-интерфейсе - блокировка нежелательных URL. Вводил туда этот адрес "mrim.mail.ru", агент переставал подключаться. Как можно такое сделать на прошивке Олега? Я так понимаю, что способ, описанный в FAQ, не без недостатков.
C:\>nslookup mrim.mail.ru
Server: asus-gw.df.home
Address: 192.168.1.1
Non-authoritative answer:
Name: mrim.mail.ru
Addresses: 194.67.23.196, 194.67.57.150, 194.67.23.154
Блокируйте по IP, если хотите через веб-интерфейс.
Internet Firewall - WAN & LAN Filter.
Для создания правила достаточно указать только dest IP.
LAN to WAN Filter Table.
http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html
iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
не понял про алгоритм kmp в составе команды....
ругается на ошибку.. (прочие алгоритмы тоже не заработали)
iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
не понял про алгоритм kmp в составе команды....
ругается на ошибку.. (прочие алгоритмы тоже не заработали)
получается этот модуль не установить?
А можно указать диапазон блокируемых адресов
iptables -t filter -A INPUT -s 81.177.141.137 -j DROP
?
Да:
iptables -t filter -A INPUT -s 195.222.160.0/19 -j DROP
iptables -t filter -A INPUT -s 212.119.192.0/18 -j DROP
iptables -t filter -A INPUT -s 81.176.0.0/15 -j DROP
(это то что я нашел по одноклассникам, возможно ещё есть)
Но в таком случае неплохо бы забанить порты публичных проксей (3127, 3128, 8080, 8000)
revenant
29-12-2008, 11:38
А как можно сделать в squid чтобы блокировка шла по шаблону, то есть
r1.mail.ru/*.swf
И блокировались разные
r1.mail.ru/454578945.swf
r1.mail.ru/45758324.swf
r1.mail.ru/347253465.swf
mrpsycho
31-03-2009, 09:17
Добрый день товарищи,
есть вопрос:
как заблокировать интернет ресурсы на wl500g.Premium 2?
стоит прошивка от Олега.
в дефолтных прошивках в веб интерфейсе есть подпункт в Internet Firewall, где можно вписать названия сайтов и они станут недоступными. но на данной прошивке я этого не вижу...
буду рад за любой ответ :)
telnet -> vi /etc/hosts
если не ошибаюсь :)
telnet -> vi /etc/hosts
если не ошибаюсь :)
Ошыбаетесь.
Топикстартеру, ставте прокси сервер.
Можно и через правила iptables, но это не кошерно :cool:
mrpsycho
31-03-2009, 12:13
Ошыбаетесь.
Топикстартеру, ставте прокси сервер.
Можно и через правила iptables, но это не кошерно :cool:
блин... а оно вытянет squid? :confused:
или будет медленно-медленно работать?
блин... а оно вытянет squid? :confused:
или будет медленно-медленно работать?
Есть ещё 3proxy, она как бы полегче.
Помогите с 3proxy tiny proxy server (http://wl500g.info/showthread.php?t=10201&highlight=proxy)
mrpsycho
31-03-2009, 12:36
Есть ещё 3proxy, она как бы полегче.
Помогите с 3proxy tiny proxy server (http://wl500g.info/showthread.php?t=10201&highlight=proxy)
спасибо!
взгляну :)
Можно и через правила iptables, но это не кошерно :cool:
Почему не кошерно, очень даже ..... а главное не надо ставить не какого софта. Читайте блокировка URL (http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html)
mrpsycho
31-03-2009, 12:54
но как то стремно этот продукт ставить на удаленный роутер.
Почему не кошерно, очень даже ..... а главное не надо ставить не какого софта. Читайте блокировка URL (http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html)
СПАСИБО
добрый день. у меня роутер wl500gp. как на нем можно заблокировать посещение на ненужный мне сайт по lan-соединению для определенной машины в моей домашней сети? подскажите кто знает )
Блокировка (http://wl500g.info/search.php?do=process&query=блокир*&titleonly=1&showposts=0&forumchoice[]=86)
кто знает есть там где сей чудо???
я видел на родных прошивках сделал прошивкой Олега всё пропало
хорошая штука от всякой порнухи нежелательной и социальных сетей мне так кажется
theMIROn
11-10-2009, 09:13
фильтр по url реинкарнирован, начиная с 1.9.2.7-d-r624 прошивки
Сорри, если ошибся топиком.
Можно-ли на роутере запретить доступ к определённому сайту. И как это сделать?
PS
Собственно, интересует возможность запрета на http://vkontakte.ru http://vk.com etc.
Сорри, если ошибся топиком.
Можно-ли на роутере запретить доступ к определённому сайту. И как это сделать?
PS
Собственно, интересует возможность запрета на http://vkontakte.ru http://vk.com etc.
Нежелание пользоваться поиском чести не делает. Перенес сюда.
Добрый день! В ветках ответа не нашел, поэтому создаю тему. Железо DIR-320, перешитый под WL500gpv2, релиз 1.9.2.7-d-r1000.
После перебоя со светом перестал работать уже настроенный url filter, то есть находящийся в списке vk.com все равно доступен при включенном фильтре и проставленных галках и времени. Где пошукать?
Да:
iptables -t filter -A INPUT -s 195.222.160.0/19 -j DROP
iptables -t filter -A INPUT -s 212.119.192.0/18 -j DROP
iptables -t filter -A INPUT -s 81.176.0.0/15 -j DROP
(это то что я нашел по одноклассникам, возможно ещё есть)
Но в таком случае неплохо бы забанить порты публичных проксей (3127, 3128, 8080, 8000)
они меняют адреса???
[root@W500 root]$ nslookup odnoklassniki.ru
Server: 212.1.224.34
Address 1: 212.1.224.34 ns.ti.ru
Name: odnoklassniki.ru
Address 1: 195.222.187.203
Address 2: 212.44.139.84
Address 3: 213.33.198.141
Address 4: 213.33.198.171
Address 5: 213.221.7.74
Address 6: 213.221.7.105
Address 7: 217.20.145.158
Address 8: 62.105.149.106
Address 9: 195.218.169.203
Address 10: 195.222.187.139
Address 11: 195.222.187.171
А чем URL Filter из веб-интерфейса то не угодил?
http://wl500g.info/attachment.php?attachmentid=7397&stc=1&d=1291563589
а сайты всё равно доступны!
что я не так делаю??
НЕ РАБОТАЕТ 8(
Ребят, вопросик следующий: купил недавно Д-линк -615.. всё путем настроил так шоб раздавал сеть без криптования, некоторым дал полный доступ в инет через ван, некоторым дал только доступ на бесплатные сайты.
Купил ток вчера RTN 16.
Прошивка RT-N16-1.9.2.7-rtn-r2607.trx
1.дал сеть всем без шифрования.
2.дал инет с ограничением по мак адресу 3 компам.
и тут борода((
3. вбил статик ИП в ДХСП 1 компу (которому нужен доступ на 3 сайта и только).
4. указал в белом листе (LAN-WAN filter) его статик ИП порты и ИП бесплатных сайтов.
В итоге сеть компам прошедшим МАК фильтр пишет есть сеть, НО её нету((( не даёт интернет никому!! соединение точно есть и роутер точно имеет инет.
Думаю загвоздка в том что теперь придется в белый лист дописывать 2 компа для полного доступа(( в LAN-WAN filter.
Понятия не имею как указать 2компам для полного доступа там все ИП адреса и все порты.
Что мне нужно - 3 компам доступ в инет. 2 из них полный и 1 только доступ на 4 бесплатных сайта.
Поможите.. почему на азусе такие беспонтовые условия в фаерволе((
ЗЫ. Заранее благодарен шо выслушали)
Как только вырубаю белый список в LAN-WAn filter в интернет опять свободно выходят компы. (но как же с ограничением того ,которому только доступ на 3 сайта дать нада!?)
Как можно заблокировать опреденные ip адреса , что бы к ним нельзя было достучаться .
Thinkpad_fan
29-08-2011, 23:20
Интересно, что когда речь идет о простой блокировке определенных сайтов, многие советуют дикие извраты, как например установка кэширующих прокси и т.п. На самом деле все можно реализовать намного проще.
nano /usr/local/etc/hosts
забиваем сюда URL'ы, например
127.0.0.1 google-analytics.com
127.0.0.1 pagead2.googlesyndication.com
127.0.0.1 media.fastclick.net
127.0.0.1 analytics.admob.com
127.0.0.1 r.admob.com
127.0.0.1 p.admob.com
127.0.0.1 event-img.qwapi.com
127.0.0.1 adserver-live.yoc.mobi
127.0.0.1 admax.nexage.com
127.0.0.1 mm.admob.com
ну а потом обязательное
flashfs save && flashfs commit && flashfs enable && reboot
Пользуюсь сам уже около года и горя не знаю. Конечно, если хочется не просто блокировать, а резать рекламу, скрипты и т.п., то без Privoxy/Squid и иже с ними не обойтись.
Мужики подскажите какое должно быть правило в iptables чтобы запретить полный доступ до интернета одному из клиентов во внутренней сети ,ну например с IP 192.168.1.6 Спасибо !!!
Мужики подскажите какое должно быть правило в iptables чтобы запретить полный доступ до интернета одному из клиентов во внутренней сети ,ну например с IP 192.168.1.6 Спасибо !!!
А поискать самому?
Для примера:
iptables -I FORWARD 1 -o eth1 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ:ХХ -j DROP
А поискать самому?
Для примера:
iptables -I FORWARD 1 -o eth1 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ:ХХ -j DROP
Спасибо ,но это правило полноценно не работает
В том виде как вы его дали оно вообще не работает ,а вот если его изменить до вида
iptables -I FORWARD 1 -o ppp0 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ:ХХ -j DROP
То инета нету ,а вот скайп всё равно работает , а мне то самое главное чтобы и скайп и аська тоже не работала
Сам искал но ничё подходящего не нашёл
Может ещё какие мысли будут ??? Спасибо !!!
Интересно, что когда речь идет о простой блокировке определенных сайтов, многие советуют дикие извраты, как например установка кэширующих прокси и т.п. На самом деле все можно реализовать намного проще.
[CODE]nano /usr/local/etc/hosts[CODE]
Простите за "чайниковский" вопрос.
RT-N16. Через PuTTY: nano /usr/local/etc/hosts.
Получаю: -sh: nano: not found. Что такое "nano"?
Простите за "чайниковский" вопрос.
RT-N16. Через PuTTY: nano /usr/local/etc/hosts.
Получаю: -sh: nano: not found. Что такое "nano"?
Простенький редактор, сначала требуется его установить )
смотрим ipkg install
Thinkpad_fan
22-10-2011, 12:51
Что такое "nano"?
http://ru.wikipedia.org/wiki/Nano
Установка
ipkg install nano
Управление
Ctrl-O: сохранить файл
Ctrl-X: выход
Ctrl-W: поиск
Alt-W: искать дальше
фаил hosts не принимает ваилдкарды. Поэтому не получится заблокировать доступ такой записью *.tetki.ru, например, но получится такой:
127.0.0.1 .tetki.ru
просто не надо ставить звездочку :p
на wl500gp в веб интерфейсе админки есть раздел Internet Firewall-Url Filtering, где можно добавить ".tetki.ru" и "tetki.ru"
Извиняюсь, если не там отписался. Довольно срочный вопрос по прошивке 1.9.2.7-rtn-r3497. Роутер RT-N16. Подскажите пожалуйста как один из компьютеров, подключеный к роутеру по витой паре отключить от интернета, но оставить возможность соединяться по OpenVPN с удаленным офисом через интернет (UDP:1194).
К роутеру подключены еще другие компьютеры, связь между ними и отключеным от интернета компьютером должна оставаться.
Можно в личку. Буду очень признателен. Спасибо.
Извиняюсь, если не там отписался. Довольно срочный вопрос по прошивке 1.9.2.7-rtn-r3497. Роутер RT-N16. Подскажите пожалуйста как один из компьютеров, подключеный к роутеру по витой паре отключить от интернета, но оставить возможность соединяться по OpenVPN с удаленным офисом через интернет (UDP:1194).
К роутеру подключены еще другие компьютеры, связь между ними и отключеным от интернета компьютером должна оставаться.
Можно в личку. Буду очень признателен. Спасибо.
В правилах iptables описать запрет для компа с mac-адресом таким-то
iptables -t nat -A PREROUTING --mac-source 00:00:00:00:00:01 -j DROP или что-то в таком духе
В правилах iptables описать запрет для компа с mac-адресом таким-то
iptables -t nat -A PREROUTING --mac-source 00:00:00:00:00:01 -j DROP или что-то в таком духе
Меня интересует возможность решить задачу используя вебинтерфес роутера. прошивка последняя, Олеговская.
alex_mira
20-01-2012, 10:09
Подскажите, пожалуйста! Есть локальная сеть, на WL500g. Нужно сделать так, чтобы одно устройство (или по ip или по mac) не могло выйти в интернет, но в локальной сети работало. Есть ли возможность реализовать это через вэб-интерфейс роутера?
Подскажите, пожалуйста! Есть локальная сеть, на WL500g. Нужно сделать так, чтобы одно устройство (или по ip или по mac) не могло выйти в интернет, но в локальной сети работало. Есть ли возможность реализовать это через вэб-интерфейс роутера?
Раздел Internet Firewall - WAN & LAN Filter там можно фильтровать трафик по ip на внешнем и внутреннем но это на прошивке от энтузиастов на оригинале не помню как там у меня она прожила примерно 30 минут после покупки роутера
psionrevo
27-01-2012, 14:23
wl500gpv1 подключен через 3G модем к инету.
Часто траффик с локалки в инет такой плотный, что скрипт с роутера не имеет возможности пробиться в инет и отослать почту по расписанию.
Вопрос: как из скрипта временно отключить роутинг с локалки в инет, т.е. чтобы из локалки можно было зайти на роутер, но нельзя было выйти в инет? А после отправки почты с роутера снова подключить локалку к инету.
Проблема решилась следующим образом:
отрезать локальную сеть от интернета
iptables -I FORWARD -d ppp0 -j DROP
Еще добавил паузу
sleep 5
иначе почта все равно висла - видимо буфер не сразу чистится
после отключения от интернета.
восстановить доступ из локальной сети в интернет
iptables -D FORWARD -d ppp0 -j DROP
Большое спасибо!
Есть ли возможность на какой либо версии прошивки поставить в Wan Aceess "белый" список с адресами (парой в вебе) которые можно посейщать, а все остальные адреса несчадно резать ?
Народ, подскажите что надо сделать (если можно пошагово, как для идиотов), чтоб закрыть доступ к определенным сайтам? Вконтакте в частности. А то файервол просит диапазоны ip, непонятно как правильно это сделать для того же вконтакта.
Прошивка 1.9.2.7-10.7 wl-500gp
Жаль что нельзя ввести просто имя домена... :(
Здравствуйте.
Подскажите, пожалуйста, как сделать разом запись в Internet Firewall - URL Filter - URL Keywords десяток адресов. Где находится этот файл и возможно ли просто сделать запись в него.
WL500GP, Firmware Version: 1.9.2.7
Komandir
16-03-2013, 18:31
Народ, подскажите что надо сделать (если можно пошагово, как для идиотов), чтоб закрыть доступ к определенным сайтам? Вконтакте в частности. А то файервол просит диапазоны ip, непонятно как правильно это сделать для того же вконтакта.
Прошивка 1.9.2.7-10.7 wl-500gp
Жаль что нельзя ввести просто имя домена... :(
Создать файл post-firewall со следующим текстом:
#!/bin/sh
ipaddr=192.168.0.14
iptables -I FORWARD -p tcp -s $ipaddr -m webstr --url vk.com -j REJECT --reject-with tcp-reset
192.168.0.14 это адрес компа с которого доступ на ВКонтакте будет закрыт. На свежих прошивках работает 100% ...
Можно добавить несколько таких строк с разными URL. Главное надо помнить что каждая такая строка замедляет работу роутера...
Заранее извиняюсь- вопрос довольно тупой для знающего человека. Но не для меня.
Как мне заблокировать 192.168.1.118 (киндл) от интернета, оставив доступ только на flibusta.net (37.221.170.51), его поддомены?
Плюс сохранить доступ по локальной сети.
Читал читал тут (http://www.opennet.ru/docs/RUS/iptables/)- ничего не понял- не сочтите за труд напишите заветную строчку.
Насколько я понял нужно добавить ее в /tmp/local/sbin/post-firewall ???
Сейчас post-firewall такой:
#!/bin/sh
# port HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 65534 -j ACCEPT
iptables -I INPUT -p udp --dport 65534 -j ACCEPT
iptables -I INPUT -p tcp --dport 51413 -j ACCEPT
iptables -I INPUT -p tcp --dport 9091 -j ACCEPT
iptables -I SECURITY -p udp --dport 16112:16114 -j RETURN
Заранее спасибо за ответ по существу вопроса, а не оскорбления в недостаточной продвинутости :p
Имею ASUS WL-500W с прошивкой 1.9.2.7-rtn-r4772
Задача - заблокировать доступ от моего компа к диапазону IP адресов в интернете.
В веб-интерфейсе роутера я не вижу возможности указать именно диапазон IP. Там, похоже, можно только поштучно добавлять адреса в LAN to WAN Filter.
Или я неправ и можно в вебинтерфейсе как-то указать именно диапазон? Как?
Если задачу нельзя решить через вебинтерфейс, то как её можно наиболее просто решить?
MercuryV
15-01-2014, 21:09
Имею ASUS WL-500W с прошивкой 1.9.2.7-rtn-r4772
Задача - заблокировать доступ от моего компа к диапазону IP адресов в интернете.
Если обновить прошивку, то можно комфортно воспользоваться ipset (http://wl500g.info/showthread.php?30870-ipset-%E2-%EF%F0%EE%F8%E8%E2%EA%E5-%FD%ED%F2%F3%E7%E8%E0%F1%F2%EE%E2)
Если обновить прошивку, то ...
Вы имеете в виду обновить прошивку до версии 1.9.2.7-rtn-r5066 from 2013.04.27 ?
Или заменить прошивку на какую-то другую (какую?) ?
MercuryV
16-01-2014, 06:00
Вы имеете в виду обновить прошивку до версии 1.9.2.7-rtn-r5066 from 2013.04.27 ?
Да. По ссылке ходили? Там явно указано, что "начиная с ревизии r4958 в прошивке есть всё необходимое для работы ipset". У вас же r4772
... "начиная с ревизии r4958 в прошивке есть всё необходимое для работы ipset".
Спасибо. Попробую разобраться с этим ipset, но для меня это пока тёмный лес.
Мне бы ссылочку где можно поднабраться общих принципов по работе со скриптами в моём роутере. Типа - для новичков: с чего начинать и что куда кидать и т.д.
У меня вот в чем проблема, через фильтр не закрывается доступ к vk.com. ДЛя компа рубится, а для приложения не рубится. Может подсказать как отрубить доступ и для приложения?
Вновь актуально, поскольку почти все соц сервисы ушли на https, и хрен терь их блоканёшь через iptables по url. Радикальный вариант с баном 443 порта, как везде в нете пишут - не вариант - отваливается обновление винды, ituns-ы всякие и пр. лабуда, а выискивать опять IP соцек не вариант.
P.S. на примере http://www.linux.org.ru/forum/admin/8734790
iptables -I FORWARD -m time --timestart 09:00:00 --timestop 13:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -p tcp -j DROP
iptables -I FORWARD -m time --timestart 09:00:00 --timestop 13:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -d vk.com -p tcp -m tcp --dport 443 -j DROP
iptables -I FORWARD -m time --timestart 14:00:00 --timestop 17:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -p tcp -j DROP
iptables -I FORWARD -m time --timestart 14:00:00 --timestop 17:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -d vk.com -p tcp -m tcp --dport 443 -j DROP
опять через пень-колоду пашет, курю дальше... Такое чувство, что каждые 0.5-1.5 часа меняются ИП серверов с сертификатами. Может центры сертификации банить?
Создать файл post-firewall со следующим текстом:
#!/bin/sh
ipaddr=192.168.0.14
iptables -I FORWARD -p tcp -s $ipaddr -m webstr --url vk.com -j REJECT --reject-with tcp-reset
пытаюсь по этому коду залочить доступ к вконтакте для нескольких ip (диапазон)
но никак не получается... Какой должен быть синтаксис?
пытаюсь по этому коду залочить доступ к вконтакте для нескольких ip (диапазон)
но никак не получается... Какой должен быть синтаксис?
Вот конкретно по этому коду и не получится - http://wl500g.info/showthread.php?25209-%CE%E3%F0%E0%ED%E8%F7%E5%ED%E8%E5-%E4%EE%F1%F2%F3%EF%E0-%EA-%E8%ED%F2%E5%F0%ED%E5%F2%F3-%EF%EE-%F0%E0%F1%EF%E8%F1%E0%ED%E8%FE
muravell
05-10-2014, 08:37
Скажите на самой новой релизной прошивке работает URL фильтр для сайтов с HTTPS ?
Скажите на самой новой релизной прошивке работает URL фильтр для сайтов с HTTPS ?
А что, разве на стоковой прошивке от Асуса не работает? :D
zaskarboy
17-02-2015, 18:19
В специализированном форуме по устройству знают ответ на такой просто вопрос как блокировка сайтов с https? В поиске пусто.
Использую список запрещенных слов в URL адресах (Брандмауэр > Фильтр URL-адресов), проблема в том, что при открывании запрещенных сайтов по протоколу https блокировки не происходит. Как заблокировать сайты, открывающиеся по https?
Asus RT-N16, прошивка официальная последняя.
ryzhov_al
18-02-2015, 05:35
Я ж вам вроде уже ответил (http://forum.ixbt.com/topic.cgi?id=14:58775-29#801).
zaskarboy
18-02-2015, 08:34
Я ж вам вроде уже ответил (http://forum.ixbt.com/topic.cgi?id=14:58775-29#801).
В интернетах нашел пост (http://forum.dlink.ru/viewtopic.php?f=3&t=165253), что сайты с https можно блокировать по IP, это действительно возможно или враки? В админке есть только фильтр url адресов, а ip фильтра нет.
don-pedro
18-02-2015, 13:23
В интернетах нашел пост ... , что сайты с https можно блокировать по IP, это действительно возможно или враки?
Действительно возможно.
В админке есть только фильтр url адресов, а ip фильтра нет.
Используйте интерфейс командной строки и iptables.
zaskarboy
19-02-2015, 07:42
Ок, ограничение сайтов по IP на практике делается легко? Или ввиду большого количества серверов (и появляющихся новых) у вконтакте и youtube блокировка работает через раз?
ryzhov_al
19-02-2015, 09:08
Ок, ограничение сайтов по IP на практике делается легко? Или ввиду большого количества серверов (и появляющихся новых) у вконтакте и youtube блокировка работает через раз?Вам надо блокировать строго определённые сайты или подойдёт блокировка по категориям? Во втором случае можно воспользоваться бесплатным тарифом SkyDNS (https://www.skydns.ru/premium). Помимо блокировки по категориям будет возможность ведения небольшого чёрного\белого списка адресов.
zaskarboy
19-02-2015, 10:10
Вам надо блокировать строго определённые сайты или подойдёт блокировка по категориям? Во втором случае можно воспользоваться бесплатным тарифом SkyDNS (https://www.skydns.ru/premium). Помимо блокировки по категориям будет возможность ведения небольшого чёрного\белого списка адресов.
За наводку на сервис спасибо, я уже зарегистрировался для изучения. С блокировкой по айпишникам я, так сказать, хочу до конца понять физику и эффективность процесса блокировки, возможности роутера. В интернете это нигде подробно не расписано в виде статьи, только в виде ответов на форумах (как тут).
ryzhov_al
19-02-2015, 11:06
С блокировкой по айпишникам я, так сказать, хочу до конца понять физику и эффективность процесса блокировки, возможности роутера. В интернете это нигде подробно не расписано в виде статьи, только в виде ответов на форумах (как тут).Постараюсь упомянуть минимум технических терминов.
Когда вы обращаетесь по адресу http://youtube.com/… ПК спрашивает роутер (а роутер спрашивает внешний DNS-сервер) о том какому IP-адресу соответствует домен youtube.com и отправляет на соответствующий IP-адрес ваш запрос. Когда вы включаете URL-фильтр, роутер начинает анализировать все http-запросы и блокировать\разрешать их прохождение в зависимости от ваших правил. В случае https анализировать ничего не получится, так как проходящая через роутер информация будет зашифрована (и запросы и ответы). Всё что «знает» роутер о таких запросах — это IP-адрес их отправки и назначения.
Блокировка по IP-адресам более топорная, чем URL-фильтр, с её помощью нельзя заблокировать адрес http://youtube.com/xxx, но оставить доступным http://youtube.com/yyy. IP-блокировка сделает домен youtube.com недоступным целиком. Реализуется блокировка обычно так: когда ПК спрашивает какой IP-адрес соответствует домену youtube.com, роутер (или внешний DNS-сервер) выдают фальшивый IP-адрес, например, локальный адрес самого ПК. Можно накрутить роутер, чтобы он отдавал фальшивые IP-адреса для определённых доменов, можно указать DNS-серверы, которые это сделают за вас: OpenDNS, Яндекс.DNS, SkyDNS и подобные.
dlukanidin
14-06-2021, 11:24
Поделитесь пожалуйста, как эффективнее всего заблокировать эту дрянь